Defaults.Exposed › Настройка › DKIM

Как настроить DKIM в Cloudflare

Опубликуйте DKIM-ключ вашего почтового провайдера в DNS Cloudflare, чтобы каждое письмо несло защищённую от подделки подпись.

Почему это важно для вашего бизнеса

DKIM (DomainKeys Identified Mail) добавляет к каждому отправленному письму невидимую цифровую подпись. Принимающий почтовый сервис с помощью открытого ключа, который вы опубликовали в своём DNS, подтверждает две вещи: письмо действительно отправлено с вашего домена и никто не изменил его по дороге.

Проще говоря: DKIM — это печать подлинности на вашей почте. С ней труднее выдать себя за вас, а ваши настоящие письма с большей вероятностью попадут во входящие, а не в спам. Как и остальное, это бесплатно и настраивается один раз.

Важно: у DKIM две половины

DKIM — та самая запись, где действительно важно, кто что делает:

• Ключ создаёт ваш почтовый провайдер. Google Workspace, Microsoft 365 или тот, кто ведёт ваши почтовые ящики, генерирует DKIM-ключ для вас внутри своей админ-панели. Придумать его нельзя — нужно взять у провайдера точное имя хоста и значение. Cloudflare не генерирует DKIM-ключи; это ваш DNS-хостер, а не провайдер почтовых ящиков.
• Cloudflare его публикует. Затем вы добавляете этот ключ в DNS вашего домена в Cloudflare (при условии, что DNS обслуживает именно Cloudflare — см. ниже).

Итак: создаём на почтовой платформе, публикуем у DNS-хостера.

Сначала убедитесь, что DNS обслуживает Cloudflare

DKIM-запись работает, только если на DNS вашего домена отвечает Cloudflare. DNS Cloudflare активен лишь тогда, когда серверы имён вашего домена (заданные у регистратора) указывают на серверы имён Cloudflare, показанные в вашей панели. Откройте домен в Cloudflare и проверьте страницу Overview — там будет видно, активен ли Cloudflare. Если серверы имён указывают на другого провайдера, добавьте DKIM-запись там; в Cloudflare она не вступит в силу.

Получите ключ у почтового провайдера

В админ-панели вашего почтового провайдера найдите настройку DKIM или аутентификации почты и создайте/включите ключ. Вы получите два фрагмента текста:

• Имя хоста / селектор — что-то вроде google._domainkey или selector1._domainkey.
• Длинное значение, начинающееся с v=DKIM1;, за которым идёт k=rsa; p= и очень длинная строка символов (открытый ключ).

Скопируйте оба фрагмента точно.

Пошагово в Cloudflare

1. Войдите в Cloudflare и выберите свой домен.
2. В меню слева перейдите к настройкам DNS (ищите DNS / Records).
3. Нажмите Add record.
4. Установите Type в TXT для большинства DKIM-ключей. Используйте CNAME, только если провайдер прямо это указал, — некоторые провайдеры, в том числе Microsoft 365, используют CNAME-записи, ссылающиеся на их серверы.
5. В поле Name введите только часть-селектор — например google._domainkey или selector1._domainkey. Не дописывайте в конце имя своего домена: Cloudflare добавит его автоматически.
6. В поле Content вставьте длинное значение ключа ровно так, как дал провайдер. (Для CNAME вместо этого вставьте указанный ими целевой хост.)
7. Оставьте TTL на Auto.
8. Нажмите Save.

Особенности Cloudflare, на которых ошибаются

• Не вписывайте полный домен в Name. Если в инструкции провайдера указано selector1._domainkey.yourdomain.com, в Cloudflare вы вводите только selector1._domainkey — остальное добавится за вас. Повторное указание домена создаёт сломанный хост вида ..yourdomain.com.yourdomain.com.
• Вставляйте ключ целиком — он длинный. Открытые ключи DKIM состоят из сотен символов. Убедитесь, что ничего не обрезано и при копировании не закрались лишние пробелы или переносы строк. Cloudflare разобьёт длинное TXT-значение на сегменты «за кулисами» — это нормально и не страшно.
• Не добавляйте собственные кавычки. Вставляйте чистое значение; кавычки Cloudflare проставит сам. Знаки ", добавленные вручную, могут испортить запись.
• TXT или CNAME — следуйте провайдеру. Если сказано CNAME, выбирайте CNAME и вставляйте указанный ими целевой хост в поле content; не превращайте его в TXT.
• Если добавляете CNAME, поставьте режим DNS only (серое облако). Записи аутентификации не должны проксироваться — убедитесь, что статус прокси показывает серое облако, а не оранжевое, чтобы запись разрешалась в значение вашего почтового провайдера, а не в прокси Cloudflare.
• Точно соблюдайте селектор. Селектор в поле Name должен символ в символ совпадать с тем, что ожидает провайдер, — именно так получатель находит нужный ключ.
• Дайте время. Изменения DNS могут распространяться от нескольких минут до пары часов, прежде чем DKIM начнёт проходить проверку.

Проверьте, что всё сработало

После сохранения и небольшой паузы на распространение запустите бесплатную проверку на этом сайте. Она простым языком подтвердит, опубликована ли ваша DKIM-запись и читается ли она.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.